WEB:为什么通用登录对于 Web 3.0 来说不是上策？

原文标题：为什么 “通用登录” 可能行不通？

自人们开始探索区块链的非金融用例以来，Web 3.0 中的身份概念一直是讨论的焦点。

通用登录的主要支持者之一 UniLogin 已停止运营。gas 价格飙升、DeFi “贵族化” 以及浏览器隐私的不断变化意味着浏览器本地存储的效用降低。预知详情，请阅读他们的博客文章。

当新冠疫情还没有成为全球危机时，Bokky 在悉尼举办了一场 “带着你的啤酒来” 区块链研讨会来探讨区块链背后的密码学原理。我记得有一个场景，当演讲者说到任何密码学签名都可用于登录网站之类的两方身份认证时，其他参与者脸上出现了惊讶的表情。

“也就是说，我们可以使用以太坊地址登录网站，不需要输入密码了？” 一位参与者问道。

“是的，” 演讲者回答，“或者，你可以根据你的以太坊密钥生成一把 “钥匙” ，来向网站隐藏你的真正地址。如果你的所有 “钥匙” 都只有一个来源，你就能实现 ‘通用登录’ —— 获得一把能够打开所有门的 ‘万能钥匙’。”

BNB跌破300美元:金色财经报道，BNB短线跌破300美元，现报291.8美元，比特币短线下挫超300美元，现报26661美元。此前美国证交会起诉币安和其CEO违反美国证券交易规则。[2023/6/5 21:17:13]

听了这位演讲者的话，研讨会的参与者都激动不已。我只能想象在其它城市的类似场景中出现过的同样令人大开眼界的画面。

演讲者说的没错，“通用登录” 背后真正发挥作用的机制是密码学身份认证。自网络诞生以来，每隔十年就会有人尝试实现 “通用登录” 。

如今，人们称赞 W3 的 Web Authentication API（一份发布于 2020 年关于如何使用密码学技术解决登录问题的规范）是先驱，但它不是什么新想法。W3 早在 2014 年就发布了 Web Authentication API 的前身 WebCrypto API，只是后者并不出名。

安全团队：稳定币DEI被盗资金目前存在黑客地址:金色财经报道，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，2023年5月6日，DEI项目遭到攻击总共约损失超600万美元，被盗资金目前存在黑客地址。

Beosin安全团队分析原因是DEI代币合约中存在一个burnFrom函数，该函数在获取用户授权值的时候，将两个地址参数写反，导致获取的授权值为黑客可操控的值。扣除销毁数量后，函数将授权值更新为了一个错误的授权值，使得黑客可以直接将pair中的DEI代币转移出去并将稳定币兑换出来。

BSC交易：0xde2c8718a9efd8db0eaf9d8141089a22a89bca7d1415d04c05ba107dc1a190c3

Arbitrum交易：

0xb1141785b7b94eb37c39c37f0272744c6e79ca1517529fec3f4af59d4c3c37ef[2023/5/6 14:46:00]

同样用于公钥登录的 HTML 表单元素 <keygen> 早在 2008 年就有了，但是很少有人知道，甚至没有网站使用它。等到了 HTML5，这个表单元素才真正发挥作用。时至今日，大多数浏览器已经在清理不常用功能时禁用了该元素。在经历过辉煌之后，<keygen> 还是悄无声息地消亡了。

盈透证券在香港推出面向专业投资客户的加密货币交易:2月14日消息，全球自动化电子经纪商盈透证券宣布在香港推出加密货币交易，使盈透证券香港的专业投资者客户能够交易比特币（BTC）和以太坊（ETH）。

符合条件的客户，包括可投资资产超过800万港元的个人或资产超过4000万港元的香港居民机构，现在可以在盈透证券平台上与其他资产类别一起交易加密货币，从而创造统一的客户体验。

通过Interactive Brokers Hong Kong 进行的加密货币交易由OSL Digital Securities提供支持，交易佣金仅为交易价值的0.20% - 0.30%，具体取决于每月交易量，每笔订单最低2.25美元。

据金色财经此前报道，盈透证券截至三季度末为客户持有1亿美元的加密资产。[2023/2/14 12:05:10]

从小就迷恋密码学的我知道密码学身份认证技术只是迎来了又一次迭代。看到人们如此激动，我不禁感到诧异，希望这次迭代会有所不同。

Hedera：将从1月26日起每季度重置测试网:1月14日消息，公链Hedera在推特上表示，将从2023年1月26日开始每季度重置测试网。重置将在UTC时间17:00开始，预计大约需要120分钟，在此期间Hedera测试网将离线。[2023/1/14 11:11:50]

如果 “通用登录” 这次真能成功，那一定会是个奇迹。除非……

…… 如果出现了新的用例会怎么样？就像 2008 年初那样，Web 2.0 用例让沉寂已久的 AJAX 技术死灰复燃？

你可能会想，是否有新的网络登录用例？在我们深入探索之前，我们应该思考一个问题：为什么网络身份认证就一定跟登录有关？

这个问题可能看起来很愚蠢。细想一下：身份认证跟登录之间有什么差别呢？身份认证就是登录；登录就是身份认证。它们根本就是一回事。

上海博物馆官方：基于“上博链”推出“海上博物”数字藏品平台，8月5日首发数字藏品:金色财经报道，据上海博物馆官方公众号消息，数字文化产业的重要性不断凸显，上海博物馆“海上博物”数字藏品平台及背后的“上博链”技术也在此背景下应运而生，将是目前为止全国博物馆界自行研发、自主拥有知识产权的首个数字藏品平台及区块链技术体系。同时，“海上博物”也是上海博物馆数字藏品馆，每一次发行数字藏品，均会有一件藏品进馆收藏，最终形成涵盖文物、艺术、创作等丰富内容的线上文化博物馆。据悉，“海上博物”首批数字藏品将于8月5日上午10时正式开启预约。[2022/7/30 2:48:00]

但是，到 Web 3.0 这里就不一样了。

如今，区块链用户倾向于认为 Web 3.0 未来将成为一个代币化网络。在这个网络中，用户持有来自各种去中心化组件（即智能合约）的代币，来避免大型公司对网络的控制。

我们来畅想一下新的应用场景。假设代币化网络已经实现，你的浏览器钱包里有一些代币。这时，你访问了一家线上游戏商城。

你使用年龄证明（身份代币的一个功能）访问限制级游戏。结果，神奇的事情出现了，商城的游戏列表发生了变化。

然后你使用另一个代币：捆绑折扣代币。这是 AAVE 开发的会员代币，提供多款游戏的折扣价。充值 ?100 DAI，AAVE 就会给你 100 个捆绑折扣代币，可用来在线上游戏商城享受多款游戏的折扣价。

你看了看游戏列表，决定购买热门日本游戏《集合啦！动物森友会》。你可以用 DAI 支付，但是商城知道你持有 SUSHI，于是为你提供额外奖励：如果你使用等额的 SUSHI 购买这款游戏，就会赠送你一个特殊的钓鱼竿游戏道具，助你开启冒险之旅。

付款成功后，你会得到一个游戏所有者代币。这个代币可以让你在支持的平台（如 Steam 和 Xbox）上畅玩已购买的游戏。

这一切都非常简单。没有登录界面，不需要输入密码，也不需要填 “出生日期”。而且，在哪家商城购买游戏没有任何限制。（例如，Humble Bundle 要求用户从自己的网站上购买电子游戏。用户也可以订阅。）

但是，登录步骤是哪一步呢？

哪一步都不是，根本没有登录步骤。从传统意义上来说，退款和获取 DLC 等操作需要账户，但是账户可以编码到游戏所有者代币内。当然了，游戏商城网站还想采用一些提高客户忠诚度的机制。因此，网站所有者可能会决定增加一个登录选项，并通过代币（例如，针对品牌的忠诚度代币）整合该选项。

但是，登录不是必须的。再强调一遍：登录不是必须的。有了代币之后，信任关系不再局限于用户和网站。

当用户使用代币时，真正发挥作用的其实是这些代币背后的技术，如，密码学身份认证、零知识密码学（例如，在不泄漏年龄的情况下提供年龄证明）、会员证明（例如，使用捆绑折扣代币时提供）。上述所有方法都是不同形式的身份证明。

这些代币可以在多个接受它们的网站上使用，因此是 “通用的” 。

网站不需要这么做，而且代币的成功并不依赖于网站所有者是否愿意取消登录功能。我只是想说登录不一定要是 Web 3.0 发展的焦点。

假设你是发行捆绑折扣代币的 AAVE 团队的一员。你不需要游戏商城取消登录功能，只要他们接受你的代币就好。当用户在这些网站上使用捆绑折扣代币时，在 “通用登录” 或 “网络身份认证” 背后发挥作用的依然是同样的密码学技术。

真正发挥作用的机制是网站和用户之间使用代币进行协商。我还没有找到更贴切的表达，姑且先将这一过程称为 “代币协商”。

我们将对应的 TokenScript 技术称为 “代币协商” 。如果你之前没有听说过这个技术，请允许我介绍一下 —— TokenScript 是支持 Web 3.0 的技术。换言之，它可以让你借助密码学和区块链的力量在网站上使用代币。虽然 TokenScript 还在开发中，但是已经可以用来开发用于用户钱包的代币了。

你可以在 TokenScript 网站上查看简介和代码/项目示例。

原文链接: 

https://medium.com/alphawallet/why-universal-login-isnt-working-this-might-81baa682e3cc

作者: Weiwu Zhang

翻译&校对: 闵敏 & 阿剑

标签：WEB区块链ERAENS3WEB币区块链局曝光局sperax币最新消息ENS价格

UNI热门资讯